Comments
Description
Transcript
シマンテックマンスリースパムレポート 2007 年 12 月
シマンテックマンスリースパムレポート 2007 年 12 月 Symantec Messaging and Web Security 作成 マンスリースパムレポート 2007 年 12 月 Doug Bowers 編集責任者 スパム対策エンジニアリング Dermot Harnett 編集者 スパム対策エンジニアリング Charles Var 広報担当 [email protected] 寄稿者 Kelly Conley Manager ESG シマンテックセキュリティレスポンス Trevor Young Supervisor Security Response シマンテックセキュリティレスポンス Joseph Long Security Response Lead シマンテックセキュリティレスポンス Joanne Mulcahy Manager ESG シマンテックセキュリティレスポンス Niall O’Reilly Security Response Technician シマンテックセキュリティレスポンス Sammy Chu Security Response Technician シマンテックセキュリティレスポンス Robert Vivas Sr Security Response Lead シマンテックセキュリティレスポンス Kevin Yu Security Response Lead シマンテックセキュリティレスポンス Amanda Grady Customer Response Analyst スパム対策エンジニアリング Takako Yoshida Customer Response Analyst スパム対策エンジニアリング Shravan Shashikant Pr. Business Intelligence Analyst スパム対策エンジニアリング Paul O’Hagan Security Response Lead シマンテックセキュリティレスポンス Sooz Thomas Security Response Technician シマンテックセキュリティレスポンス Francisco Pardo Security Response Technician シマンテックセキュリティレスポンス マンスリースパムレポート 2007 年 12 月 今月のスパム状況 楽しい季節が到来しましたが、今月のスパム数はスパム対策研究者にとって楽しいもの ではありません。11月はすべてのスパムの数が上昇し、75%を記録しました。5月には 64%を記録しているので、比較するとこの6ヶ月間右上がりに増加していることが見受け られます。 今月のハイライト: • 北京オリンピック便乗スパムの出現: 9 ヶ月先であるにもかかわらず、2008 年の北京オ リンピックに関連したスパムが初めて発見されました。(9 ページを参照) • ブリトニー、リンジー、ドニー・オズモンドを見出しにした医療スパム: セレブに関す るゴシップ記事が医療スパムに利用されています。(10 ページを参照) • スパム発信者にとっての収穫シーズン到来: スパム発信者たちは有効な電子メールアド レスを見つけて、スパム用メーリングリストを作成しようとします。このメールアドレ ス取得活動の一環として送信され、ブロックされた空メールは 約 3500 万通にも達しま した。(10 ページを参照) • 子供の失踪事件を利用するスパム発信者: 英国人の女の子マデリン・マクカーン ちゃんが失踪した事件の捜査が現在も続けられているにもかかわらず、正規のサイト FindMadeleine.com へのリンクに見せかけて、ウイルスをホストするサイトへのリンク が含まれるスパムメールを配信する不謹慎なスパム発信者がいました。(11 ページを 参照) • 詐欺スパムとフィッシングスパムは引き続き増加: この 2 つのカテゴリは11 月の全スパ ムの 19% を占め、9 月の 13% と 10 月の 18% から引き続き増加しています。 • この季節に多く見られるスパム攻撃: - 感謝祭(Thanksgiving Holiday)に関わる件名が入ったペニーストック(低位株)スパム - 雪合戦スパム - クリスマス無料ギフトカード便乗スパム - 最高のクリスマスプレゼント - 「宝くじ当選」スパム 特集: スパムの復活 – 2007年レビュー ビル・ゲイツ氏は 2004 年に「2 年以内にスパムメールは根絶されるだろう」と予言しま したが、これは全く的外れでした。2007 年にこれほどまでスパムが増加するとは誰も予 想できませんでした。全電子メールの 56% をスパムが占めた 2006 年から確実に上昇を 続け、今月は全電子メールの 72% という高い割合を常に維持しました。また、MP3、ビ デオ、Google アラートや検索などを利用したスパムなど、2007 年に初めて確認されたス パムもありました。(2007 年の傾向とハイライトの詳細は 16 ページを参照) 1 マンスリースパムレポート 2007 年 12 月 スパムであることが確認された電子メールの割合 定義: 下のグラフの「インターネットメールに対するスパムの割合」は、スパムとして処理分 類されたメールの数と、メールゲートウェイでスキャンされた全処理メールの数との割 合です。この指標は、SMTP 層でフィルタリングされたメール数を基にしており、ネット ワークレイヤーで検知されたメールは含まれていません。 (+ %& ' &. %( %& && (( (%( %& && ( &. %( %& && ) (( %( %& && &+ )%( %& && * '/ %( %& && * &) %( %& && '- +%( %& && + )' %( %& && + '* %( %& && (. ,%( %& && , '( %( %& && - (, %( %& && - &/ %( %& && () .%( %& && . &, %( %& && / (& %( %& && &* /%( %' && & '. %( %' && &% (& &- .&$&& -+$&& -&$&& ,+$&& ,&$&& ++$&& +&$&& 長期のトレンドを示すために、7 日間の移動平均を示す線を加えています。 2 マンスリースパムレポート 2007 年 12 月 世界全体におけるスパムのカテゴリ別内訳 定義: スパムのカテゴリデータは、Symantec Probe Network を通過したメールの分類によるも のです。 世界全体におけるスパムのカテゴリ別内訳 金融 15% アダルト 6% フィッシング 7% 医療 9% 詐欺 12% インター ネット 18% 各種製品 27% 3 娯楽 6% マンスリースパムレポート 2007 年 12 月 カテゴリの定義 • 各種製品(Products)メール攻撃は、一般の製品・サービスを提供する(または広告 する)ものです。例:機器、調査サービス、衣料品、化粧品 • アダルト(Adult)メール攻撃は、18 歳以上の成人を対象とする製品・サービスを含み (または紹介し)、攻撃的なものや不適切な内容のものが多く見られます。例:ポル ノ、個人広告、出会い系 • 金融(Financial)メール攻撃は、金銭、株式など儲け話を騙って提供するものです。 例:投資、クレジットレポート、不動産、ローン • 詐欺(Scams)メール攻撃は、詐欺的と判断できる、または意図的にだまそうとして いる、または送信者の詐欺行為に利用されたことがあるものを言います。例:ナイ ジェリアへの投資、ネズミ講、チェーンレター • 医療(Health)メール攻撃は、健康・医療関連の製品・サービスを提供する(または 広告する)ものです。例:医薬品、治療法、ハーブ療法 • フィッシング(Fraud)メール攻撃は、有名企業から来たメールを装っているが、実 態は違うというものです。この種のメールはブランドになりすます商標詐欺(brand spoofing)やフィッシング(phishing)と呼ばれ、ユーザをだましてメールアドレ ス、財務情報、パスワードといった個人情報を送信させようとするものが大半です。 例:口座情報、クレジットカード利用確認、利用明細 • 娯楽(Leisure)メール攻撃は、懸賞、当選、格安の各種娯楽を提供する(または広告 する)ものです。例:観光旅行、オンラインカジノ、ゲーム • インターネット(Internet)メール攻撃は、インターネットやコンピュータ関連の製 品・サービスを提供する(または広告する)ものです。例:ウェブホスティング、 ウェブデザイン、スパムウェア • 政治(Political)メールは、候補者や選挙戦について広告する、政党や運動への献金を 募る、政治家・選挙戦に関する商品を提供する、などを行なうものです。例:政党、 選挙、献金 4 マンスリースパムレポート 2007 年 12 月 発信地域 定義: 発信地域別内訳は、報告されたメールのうち、以下の各地域から発信されたメールの割 合を示しています。北アメリカ、南アメリカ、ヨーロッパ、オーストラリア/オセアニ ア、アジア、アフリカ。 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0 アフリカ アジア オーストラリア/ ヨーロッパ 北アメリカ 南アメリカ オセアニア インターネットメールの内訳 インターネットスパムの内訳 5 &- (& &- (& '% %' (+ &- (& &% %' (+ &- (& /% %& (+ &- &- (& &- (& &- (& (& .% %& (+ -% %& (+ ,% %& (+ +% %& (+ &- &- &- (& (& *% %& (+ )% %& (+ (% (& &, (& '% %& (+ %& (+ &, (& (% %' (+ &, (& '% %' (+ &, (& /% &% %' (+ %& (+ マンスリースパムレポート 2007 年 12 月 画像スパムの割合 定義: 全スパム数に対する画像スパムメッセージ数の割合 ,&$&& +&$&& *&$&& )&$&& (&$&& '&$&& &$&& 長期のトレンドを示すために、7 日間の移動平均を示す線を加えています。 6 マンスリースパムレポート 2007 年 12 月 北京オリンピック便乗スパムの出現 「China National Offshore Oil Corporation」(中国海洋石油集団公司)から届いたよう に見せかけ、懸賞金の進呈と 2008 年北京オリンピックへの招待を申し出るスパムが確 認されました。一見この電子メールはありふれた「当選通知」メールのようですが、懸 賞金だけでなく 2008 年開催予定の北京オリンピックに参加できるという点が異なりま す。これは、2008 年の北京オリンピックの人気が高まることを利用した初めての詐欺 メールです。オリンピック関連のスパムの数が年始から夏にかけて着実に増加した 2004 年のように、この新種のスパムは、これからこの種のオリンピック便乗スパムが増加す る兆候なのかもしれません。 「China National Oil Corporation」(中国海洋石油集団公司)は世界中の原油産出量の一 定の割合を占めており、その株は現在の株式市場で人気の株です。このように有名企業 の名をかたり、オリンピックに無料で招待すると言って、スパム発信者は注意を惹きつ けます。その見返りにスパム発信者が要求するもの、それは貴重な個人情報です。以下 はこのスパムのサンプルです。 現在の株式市場で人気銘柄の企業の名をかたり、懸賞金進呈と北京オリンピックへの招 待を申し出ることで、メール受信者の興味をそそります。これは古典的な手口であると 言えます。有名企業から届いたと見せかけるスパムメールの発信者は、まさにその「有 名」という言葉を利用することで、メール受信者の疑念をすぐに晴らします。そして、 彼らは「無料である」ことも強調するのです。 7 マンスリースパムレポート 2007 年 12 月 ブリトニー、リンジー、ドニー・オズモンドを見出しにした医療スパム ユーザーを騙してスパムメールを開かせるためには、スパム発信者は手段を選びませ ん。最近急増する医療スパムの件名には、最も注目を浴びている芸能人に関するゴシッ プ記事を利用したものが多く見受けられます。スパムメッセージの本文は、無作為に選 ばれたドメイン(下のサンプルではバイアグラ製品を販売する企業のドメインが使用さ れています)を持つプレーン・テキスト形式で構成されます。 以下は、この種のスパムで使用される件名の一部です。 Subject: Kevin’s Flight with the Angels Subject: Lindsay Lohan Digs Fergie’s Handbags Subject: Britney Spears Shops at Bel Bambin Subject: Britney Spears Under LAPD Investigation Subject: Donny Osmond Backstage with ‘Dancing’ Subject: Kevin Escorts Victoria’s Secret Angels To L\.A Subject: Brooke Burke and David Charvet Baby News Subject: Beyonce billboard ‘upsets’ Vegas residents DHA 攻撃(ディレクトリ獲得攻撃)がスパム問題を悪化させる 11 月には、さまざまな DHA 攻撃により数百万通もの空メールが送信されました。件名 も本文もないこれらのメッセージは、エンドユーザーに対して明確な意図を持っている わけではありません。では、DHA 攻撃とはどのようなものなのでしょうか。DHA 攻撃 では、スパム発信者は「適当な」電子メールアドレスをメールサーバーに大量に送りつ け、サーバーに負荷をかけます。宛先不明とならなかった電子メールアドレスは有効で あると判断し、次回のスパム攻撃の対象者リストに追加します。11 月、シマンテックの フィルタは 3500 万通ものメッセージをフィルタリングしました。 8 マンスリースパムレポート 2007 年 12 月 子供の失踪事件を利用するスパム発信者 今月は、多くの人が関心を持った英国人の女の子マデリン・マクカーンちゃんの失踪 事件を利用した攻撃がありました。電子メールには、http://internetwonderful.com/ madeleine にリダイレクトする http://madeleine2007.notlong.com/ へのリンクが含まれて いました。下の 2 つ目のサイトはマデリン・マクカーンちゃんの家族の正式サイトであ る www.findmadeleine.com に見せかけていますが、実際にはウイルスを配信するサイト です。また、このサイトではシマンテックのロゴが無許可で使用され、ウイルス対策製 品に関する Google 広告がたくさんあります。 注意しなければならないのは、スパム発信者と正規サイトには何の関係もないにもかか わらず、スパムメールに正規サイトである findmadeliene.com が含まれていることです。 9 マンスリースパムレポート 2007 年 12 月 スパム発信者は電子メールデータベースで一儲け 「電子メールアドレスその他の個人情報が入ったデータベースを販売します。新しい事 業には絶対役立つことをお約束します」というスパムメールがしばらくの間確認されま した。このようなスパムメールの一部はスペイン語やイタリア語で書かれており、実際 にこのデータベースが利用されるかもしれません。 10 マンスリースパムレポート 2007 年 12 月 この季節に多く見られるスパム攻撃 感謝祭(Thanksgiving Holiday)に関わる件名が入ったペニーストック(低位株)スパム ペニーストックスパムの発信者は、最近では米国の感謝祭に関するメールの件名に、知 人から来たと思わせるような言葉を用います。 以下は、Symantec Brightmail Antispam ソリューションでこれまでにブロックされた数百 万にも及ぶスパムメールの一部で、感謝祭関連の言葉が使用された件名の例です。 Subject: Be thankful on Monday Subject: Got your fill of turkey this weekend? Subject: The holiday report Subject: Is there anymore stuffing Subject: Make sure you got the gravy cause here is the main course これらの件名の多くは、エンドユーザーを騙してメールをクリックさせることを狙って います。 祝日が多いこの季節はスパム発信者もレプリカ製品が気になる スパム発信者は時計やハンドバッグなどのレプリカ製品が大好きです。12 月に入り、祝 日に関連するキーワードが件名に使用されているスパムメールが確認されています。 この季節に便乗したスパムの件名の例を、以下に挙げます。 Subject: The best Christmas gifts for your nearest and dearest Subject: Posh accessories at reduced prices for Christmas!)$ Subject: Find the most luxurious Christmas presents Subject: The most attractive offers for Christmas shopping! Subject: Have you already bought all Christmas gifts Subject: Christmas sale of awesome watches, pens, and lighters Subject: Surprise your beloved one with the most elegant Christmas present 11 マンスリースパムレポート 2007 年 12 月 雪合戦スパム 多くの人にとって、チェーンメールはいつも悩みの種でした。今年の冬は、「Wonderful News!」や「Guess What?!」という件名の電子メールがいくつか確認されています。こ のメッセージを確認したところ、怪しいキャラクターが雪球を投げ続ける GIF 画像が表 示されました。これは悪意の無いいたずらかもしれません。しかし、これを利用して電 子メールアドレスが入手できてしまうことを考えると、それで済ますわけにはいきませ ん。電子メールを開くたびに、画像をホストするサーバーに要求が送信され、ユーザー の電子メールアドレスがスパム発信者のサーバーのログファイルに保存されます。ログ には、http://example.com/[email protected] として表示されます。 このため、このような電子メールを友人や家族に転送するときには注意しなければなり ません。たとえ迷惑をかけるつもりがなくても、それらの人の電子メールアドレスが実 際にスパム発信者に送られてしまう可能性があるからです。 12 マンスリースパムレポート 2007 年 12 月 クリスマスギフトが誰でも無料? 祝日が多いこの季節、お金で困っていませんか? Marks & Spencer で 250 ポンドのギフト が無料で手に入るなんてことを期待していませんか? 次の例は、英国の有名ブランドを 利用してエンドユーザーを騙そうとするスパムメールです。件名には「Christmas Freebie」とあります。 「Hey, For a limited time only you can claim a FREE £250 Gift Card from Marks & Spencers!」 というメッセージの下にあるリンクをクリックしてギフトカードをもらおうとすると、 「Sorry this offer is not available in your area. You’ll be redirected shortly.」と表示され ます。これで、ユーザーは自分が騙されたことに気づくのです。250 ポンドのギフトが もらえるなどというのは嘘で、リンクの下に偽物のチャットサイトがあるだけです。全 く馬鹿げています。 13 マンスリースパムレポート 2007 年 12 月 この季節に多いロット詐欺 英国のエンドユーザーを標的にした詐欺であり、スパム発信者はこの種のロット関連の 詐欺メールをクリスマス用に新しくしました。このような詐欺攻撃の目的は、「賞金を 送るため」と称して、例によって架空の団体や個人に個人情報を送らせようとする他の ロット詐欺メールと変わりません。 14 マンスリースパムレポート 2007 年 12 月 特集: 2007 年レビュー ビル・ゲイツ氏は2004年に「2年以内にスパムは根絶されるだろう」と予言しました が、これは全く当たりませんでした。しかし、電子メール全体でピーク時には 72% をス パムが占めたように、2007 年にスパムがこれほど劇的な増加を見せるとは誰も予想でき ませんでした。 画像スパムはこの増加現象の最前線にあり、新たな攻撃を検出し、ブロックするための 新技術の開発をスパム対策ベンダーに迫りました。悪賢い戦略はそれだけに止まりませ ん。ボットネットハーダー、オーディオファイル、ビデオファイル、Google アラートや 検索などを使用した戦略など、この 1 年は「初めての」スパム攻撃がいくつも確認され ました。また、スパム発信者たちは IM、SMS、ときにはオンラインゲームなど、さまざ まなプロトコルやプラットフォームを利用しました。 スパム発信者がこれまで以上に巧妙な回避技術を使用して進化していく一方で、スパム 対策の最前線にいる人たちもまた、スパムを排除するために一層の努力をしてきまし た。FBI による Bot Roast 作戦、SEC による Spamalot 作戦、ISP 間での情報共有の推進、 スパム対策ベンダーによる最新のブロック技術の配備がありました。 すべての産業が情報漏えい防止、仮想化、IT リスク管理に関する議論を行ったにもかか らず、2007 年は依然としてスパムが猛威を振るった年でした。 以下は、今年の注目すべき記録とイベントです。 スパムの増加傾向 (全電子メールトラフィックにおける平均) • 2005 年 7 月- 12 月: 50% • 2006 年 1 月- 6 月: 54% • 2006 年 7 月- 12 月: 59% • 2007 年 1 月- 11 月: 70% 以上 2007 年に初めて確認されたスパム: • Peacomm Trojan(通称 Storm worm)攻 撃などのスパムとボットネットの連動 • オーディオ(MP3)とビデオ(YouTube など)を利用したスパム • Google アラートと検索を利用したスパム • 画像スパム(Newsletter を挿入したもの や Mr. Ransom など): 急激に増加し、巧 妙化が続いた後、全体としての割合は着 実に減少しました。 • 添付スパム(PDF、Zip ファイルなど): 急激に増加し、ある程度の進化を遂げた 後、急激に減少してほぼなくなりまし た。 • 不当に株価を引き上げるスパム「Pumpand-Dump」: スパムのカテゴリで依然と して上位を占めますが、SEC の活動によ り 2006 年後半の 30% から 2007 年前半 には 21% まで減少しました。巧妙化は続 いています。 • さまざまなプロトコルとプラットフォー ムを使用したスパム(IM、SMS、オンラ インゲームなど)を利用したスパム • 社会的な関心事(北京オリンピック、カ リフォルニアの山火事、サダム・フセイ ンの死刑執行など)を利用する新たな手 口。 イベント: • 詐欺スパムとフィッシングスパム: 増加、 巧妙化が着実に進みました(419詐欺、e カードなど)。 • FBI による Bot Roast 作戦 • SEC による Spamalot 作戦 • ISP 間での情報共有 15 全体の傾向: